👩🏻‍⚖️ 👩🏼‍⚖️ 🌯 خبرة في تنفيذ مصانع الشبكات القائمة على EVPN VXLAN و Cisco ACI ومقارنة صغيرة 🤰🏾 🏸 🚽

قيم الأربطة في منتصف المخطط. سوف نعود إليهم أدناه.

في مرحلة ما ، قد تواجه حقيقة أن الشبكات المعقدة الكبيرة القائمة على L2 مريضة بشكل نهائي. بادئ ذي بدء ، المشاكل المرتبطة بمعالجة حركة مرور BUM وتشغيل بروتوكول STP. الثانية - ككل العمارة المتقادمة أخلاقيا. هذا يسبب مشاكل غير سارة في شكل أوقات التعطل والإزعاج للإدارة.

كان لدينا مشروعان متوازيان قام فيه العملاء بتقييم متوازن لجميع إيجابيات وسلبيات الخيارات واختاروا اثنين من حلول التراكب المختلفة ، وقمنا بتنفيذها.

كان من الممكن مقارنة التنفيذ بالضبط. ليس الاستغلال ، يجدر الحديث عنه في غضون عامين أو ثلاثة.

إذن ما هو مصنع شبكة التراكب و SDN؟

ما يجب القيام به مع المشاكل المؤلمة في بنية الشبكة الكلاسيكية؟

كل عام تظهر تقنيات وأفكار جديدة. من الناحية العملية ، لم تنشأ الحاجة الملحة لإعادة بناء الشبكات لبعض الوقت ، لأنه يمكنك أيضًا القيام بكل شيء يدويًا باستخدام طرق الجد القديمة الجيدة. فماذا عن القرن الحادي والعشرين؟ في النهاية ، يجب أن يعمل المشرف ، لا يجلس في مكتبه.

ثم بدأ ازدهار بناء مراكز بيانات واسعة النطاق. ثم أصبح من الواضح أنه تم الوصول إلى حد تطوير العمارة الكلاسيكية ليس فقط من حيث الأداء ، وتحمل الأخطاء ، وقابلية التوسع. وكان أحد خيارات حل هذه المشاكل فكرة بناء شبكات متراكبة فوق العمود الفقري الموجه.

بالإضافة إلى ذلك ، مع تزايد حجم الشبكات ، أصبحت مشكلة إدارة هذه المصانع حادة ، ونتيجة لذلك بدأت حلول الشبكات المعرفة بالبرمجيات في الظهور مع القدرة على إدارة البنية التحتية للشبكة بأكملها ككل. وعندما تتم إدارة الشبكة من نقطة واحدة ، يكون من السهل على المكونات الأخرى للبنية التحتية لتكنولوجيا المعلومات التفاعل معها ، كما يسهل أتمتة عمليات التفاعل هذه.

تقريبا كل مصنع رئيسي لمعدات الشبكة فحسب ، بل أيضًا الافتراضية ، لديها خيارات محفظتها لمثل هذه الحلول.

يبقى فقط لمعرفة ما هو مناسب لما يحتاجه. على سبيل المثال ، بالنسبة للشركات الكبيرة بشكل خاص مع فريق التطوير والتشغيل الجيد ، لا تلبي حلول الصناديق القائمة على البائعين دائمًا جميع الاحتياجات ، ويلجأون إلى تطوير حلول SD الخاصة بهم (محددة بالبرمجيات). على سبيل المثال ، هؤلاء هم مزودو الخدمات السحابية الذين يقومون باستمرار بتوسيع نطاق الخدمات المقدمة لعملائهم ، والحلول المعبأة ببساطة غير قادرة على مواكبة احتياجاتهم.

بالنسبة للشركات متوسطة الحجم ، فإن الوظائف التي يقدمها البائع في شكل حل محاصر كافية في 99 في المائة من الحالات.

ما هي شبكة التراكب؟

ما هي فكرة شبكات التراكب؟ في الجوهر ، يمكنك أن تأخذ شبكة توجيه كلاسيكية وتبني شبكة أخرى فوقها للحصول على المزيد من الميزات. غالبًا ما نتحدث عن التوزيع الفعال للحمل على المعدات وخطوط الاتصال ، وزيادة كبيرة في حد قابلية التوسع ، وزيادة الموثوقية ومجموعة من الكعك الأمنية (بسبب التجزئة). وتوفر حلول SDN بالإضافة إلى ذلك فرصة لإدارة مرنة للغاية ومريحة للغاية وتجعل الشبكة أكثر شفافية لعملائها.

بشكل عام ، إذا تم اختراع الشبكات المحلية في سنوات 2010 ، فلن تبدو مثل تلك التي ورثناها عن الجيش منذ السبعينيات.

من وجهة نظر تقنيات بناء المصانع التي تستخدم شبكات متراكبة ، هناك حاليًا العديد من تطبيقات الشركات المصنعة ومشاريع الإنترنت RFC (EVPN + VXLAN و EVPN + MPLS و EVPN + MPLSoGRE و EVPN + Geneve وغيرها). نعم ، هناك معايير ، ولكن قد يختلف تنفيذ هذه المعايير من قبل جهات تصنيع مختلفة ، لذلك ، عند إنشاء مثل هذه المصانع ، لا يزال من الممكن التخلي تمامًا عن قفل المورد من الناحية النظرية فقط على الورق.

مع حل SD ، تصبح الأمور أكثر إرباكًا ، لكل بائع رؤية خاصة به. هناك حلول مفتوحة تمامًا ، نظريًا ، يمكنك إنهاء نفسك ، هناك حلول مغلقة تمامًا.

تقدم Cisco خيار SDN الخاص بها لمراكز البيانات - ACI. وبطبيعة الحال ، يعد هذا حلًا لقفل البائع بنسبة 100٪ من حيث اختيار معدات الشبكة ، ولكنه في الوقت نفسه يتكامل تمامًا مع المحاكاة الافتراضية ، والحاويات ، والأمن ، والمزامنة ، وموازنات التحميل ، إلخ. لجميع العمليات الداخلية. لا يوافق جميع العملاء على هذا الخيار ، نظرًا لأنك تعتمد تمامًا على جودة رمز الحل المكتوب وتنفيذه ، ولكن من ناحية أخرى ، تتمتع الشركة المصنعة بواحد من أفضل الدعم الفني في العالم ولديها فريق مخصص لا يتعامل إلا مع هذا الحل. تم اختيار Cisco ACI كحل للمشروع الأول.

تم اختيار حل Juniper للمشروع الثاني. لدى الشركة المصنعة أيضًا SDN الخاص بها لمركز البيانات ، لكن العميل قرر التخلي عن تنفيذ SDN. تم اختيار مصنع EVPN VXLAN بدون استخدام وحدات تحكم مركزية كتقنية لبناء الشبكة.

لماذا تحتاج

يتيح لك إنشاء مصنع إنشاء شبكة موثوقة وقابلة للتوسعة ومتسامحة مع الأخطاء. تأخذ الهندسة المعمارية (أوراق الشجر) في الاعتبار ميزات مراكز البيانات (مسارات المرور ، وتقليل التأخير واختناقات الشبكة). تتيح حلول SD في مراكز البيانات إدارة مثل هذا المصنع بسهولة وسرعة ومرونة وإدماجه في النظام البيئي لمركز البيانات.

احتاج كلا العملاء إلى إنشاء مراكز بيانات احتياطية لضمان تحمل الخطأ ، بالإضافة إلى ضرورة تشفير حركة المرور بين مراكز البيانات.

يعتبر العميل الأول بالفعل الحلول بدون مصنع كمعيار محتمل لشبكاته ، ولكن في الاختبارات كان لديهم مشاكل في توافق STP بين العديد من موردي الأجهزة. كانت هناك أوقات تعطل تسببت في انقطاع الخدمة. وبالنسبة للعميل كان الأمر بالغ الأهمية.

كانت Cisco بالفعل المعيار المؤسسي للعميل ، وقد نظروا إلى ACI وخيارات أخرى وقرروا أن الأمر يستحق اتخاذ هذا الحل. أحببت أتمتة التحكم بزر واحد من خلال وحدة تحكم واحدة. تتم تهيئة الخدمات بشكل أسرع وإدارتها بشكل أسرع. قرروا توفير تشفير حركة المرور عن طريق تشغيل MACSec بين مفاتيح IPN و SPINE. وبالتالي ، تمكنا من تجنب اختناق في شكل بوابة تشفير ، وحفظها واستخدام الحد الأقصى لعرض النطاق الترددي.

اختار العميل الثاني حلاً بدون وحدة تحكم من Juniper ، لأنه في مركز البيانات الحالي كان هناك بالفعل تثبيت صغير مع تنفيذ مصنع EVPN VXLAN. ولكن لم يكن هناك خطأ متسامح (تم استخدام مفتاح واحد). قرروا توسيع البنية التحتية لمركز البيانات الرئيسي وبناء مصنع في مركز بيانات النسخ الاحتياطي. لم يتم استخدام EVPN الحالي بشكل كامل: لم يتم استخدام تغليف VXLAN بالفعل ، نظرًا لأن جميع المضيفات كانت متصلة بمحول واحد ، وكانت جميع عناوين MAC و / 32 عناوين المضيف محلية ، وكان نفس المفتاح عبارة عن بوابة لهم ، ولم تكن هناك أجهزة أخرى ، حيث كان من الضروري بناء أنفاق VXLAN. قرروا توفير تشفير حركة المرور باستخدام تقنية IPSEC بين جدران الحماية (كان أداء الاتحاد كافياً).

لقد شعروا أيضًا بـ ACI ، لكنهم قرروا أنه بسبب قفل البائع ، سيتعين عليهم شراء الكثير من الحديد ، بما في ذلك استبدال المعدات الجديدة التي تم شراؤها مؤخرًا ، وهذا ليس له معنى اقتصادي. نعم ، يتكامل مصنع Cisco مع كل شيء ، ولكن فقط أجهزته ممكنة داخل المصنع نفسه.

من ناحية أخرى ، كما قالوا سابقًا ، لا يمكن أن يختلط مصنع EVPN VXLAN مع أي بائع مجاور ، لأن عمليات تنفيذ البروتوكول مختلفة. إنه مثل عبور Cisco و Huawei على نفس الشبكة - يبدو أن المعايير شائعة ، فقط عليك الرقص مع الدف. نظرًا لأن هذا مصرفًا ، وستكون اختبارات التوافق طويلة جدًا ، فقد قرروا أنه من الأفضل شراء نفس البائع الآن ، وعدم الاستغناء عن الوظائف خارج القاعدة.

خطة الهجرة

اثنان من

مراكز البيانات المستندة إلى ACI: تنظيم التفاعل بين مراكز البيانات. تم اختيار حل Multi-Pod - كل مركز بيانات هو الموقد. تم أخذ متطلبات التحجيم في عدد المحولات والتأخير بين المداخن (RTT أقل من 50 مللي ثانية) في الاعتبار. تقرر عدم إنشاء حل متعدد المواقع لسهولة الإدارة (بالنسبة إلى حل Multi-Pod ، يتم استخدام واجهة إدارة واحدة ، بالنسبة إلى Multi-Site سيكون هناك واجهتان ، أو مطلوب Multi-Site Orchestrator) ، وبما أن الحجز الجغرافي للمواقع غير مطلوب.

من وجهة نظر ترحيل الخدمات من شبكة Legacy ، تم اختيار الخيار الأكثر شفافية ، لنقل شبكات VLAN المطابقة لخدمات معينة تدريجيًا.
بالنسبة للترحيل ، تم إنشاء كل شبكة محلية ظاهرية (VLAN) باستخدام EPG المقابل (مجموعة نقطة النهاية) في المصنع. أولاً ، تم تمديد الشبكة بين الشبكة القديمة والمصنع عبر L2 ، ثم بعد أن تم ترحيل جميع المضيفين ، تم نقل البوابة إلى المصنع ، وتفاعل EPG مع الشبكة الحالية من خلال L3OUT ، وتم وصف التفاعل بين L3OUT و EPG باستخدام العقود. مخطط العينة:

هيكل العينة لمعظم سياسات مصنع ACI في الشكل أدناه. يعتمد التكوين بالكامل على السياسات المضمنة في السياسات الأخرى وما إلى ذلك. في البداية ، من الصعب جدًا اكتشافه ، ولكن تدريجيًا ، كما تظهر الممارسة ، يعتاد مسؤولو الشبكات على مثل هذا الهيكل في غضون شهر تقريبًا ، ثم يتوصلون فقط إلى فهم مدى ملاءمته.

مقارنة

في حل Cisco ACI ، تحتاج إلى شراء المزيد من المعدات (مفاتيح منفصلة لتفاعل Inter-Pod ووحدات تحكم APIC) ، مما جعلها أكثر تكلفة. لم يتطلب حل Juniper شراء وحدات التحكم والملحقات ؛ اتضح أن استخدام معدات العملاء الموجودة جزئيا.

فيما يلي بنية مصنع EVPN VXLAN لمركزي بيانات في المشروع الثاني:

في ACI تحصل على حل جاهز - لا حاجة للاختيار ، لا حاجة للتحسين. عند التعارف الأولي للعميل مع المصنع ، لا حاجة للمطورين ؛ لا حاجة للأشخاص الداعمين للتعليمات البرمجية والأتمتة. من السهل جدًا تشغيله ، يمكن إجراء العديد من الإعدادات بشكل عام من خلال المعالج ، وهو ليس دائمًا زائدًا ، خاصة بالنسبة للأشخاص الذين اعتادوا على سطر الأوامر. على أي حال ، يستغرق الأمر وقتًا لإعادة بناء الدماغ على مسارات جديدة ، وعلى ميزة الإعدادات من خلال السياسات وعلى تشغيل العديد من السياسات المتداخلة. بالإضافة إلى ذلك ، من المستحسن جدًا أن يكون لديك هيكل واضح لأسماء السياسات والكائنات. إذا كان هناك أي مشكلة في منطق وحدة التحكم ، فلا يمكن حلها إلا من خلال الدعم الفني.

في EVPN ، وحدة تحكم. المعاناة أو نفرح. الواجهة المألوفة للحارس القديم. نعم ، هناك تكوين نموذجي وأدلة. يجب أن تدخن مانا. تصميمات مختلفة ، كل شيء واضح ومفصل.

بطبيعة الحال ، في كلتا الحالتين ، من الأفضل عدم ترحيل الخدمات الأكثر أهمية ، على سبيل المثال ، بيئات الاختبار ، أثناء الترحيل ، وعندها فقط ، بعد التقاط جميع الأخطاء ، انتقل إلى الإنتاج. ولا تضبط في ليلة الجمعة. يجب ألا تثق في البائع أن كل شيء سيكون على ما يرام ، فمن الأفضل دائمًا تشغيله بأمان.

أنت تدفع أكثر على ACI ، على الرغم من أن Cisco تعمل حاليًا على الترويج لهذا الحل بشكل نشط وغالبًا ما تقدم خصومات جيدة عليه ، ولكنك توفر في الصيانة - الصيانة. تتطلب إدارة وأتمتة مصنع EVPN بدون وحدة تحكم استثمارات ونفقات منتظمة - المراقبة والأتمتة وتنفيذ الخدمات الجديدة. في الوقت نفسه ، فإن الإطلاق الأولي في ACI أطول بنسبة 30-40 بالمائة. وذلك لأن المجموعة الكاملة من الملفات الشخصية والسياسات الضرورية يتم إنشاؤها لفترة أطول ، والتي سيتم استخدامها بعد ذلك. ولكن مع نمو الشبكة ، يقل عدد التكوينات المطلوبة. استخدام السياسات والملفات الشخصية والكائنات التي تم إنشاؤها بالفعل. يمكنك تكوين التقسيم والأمان بمرونة ، وإدارة العقود بشكل مركزي مسؤولة عن السماح بتفاعلات معينة بين EPGs - ينخفض حجم العمل بشكل حاد.

في EVPN ، تحتاج إلى تكوين كل جهاز في المصنع ، واحتمال الخطأ أكبر.

إذا كان ACI أبطأ في النشر ، فإن EVPN يتم تصحيحه مرتين تقريبًا. إذا كنت في حالة Cisco ، يمكنك دائمًا الاتصال بمهندس دعم والاستفسار عن الشبكة ككل (لأنها مغطاة كحل) ، فمن Juniper Networks تشتري الأجهزة فقط ، ويتم تغطيتها بها. هل اختفت الحزم من الجهاز؟ حسنا حسنا ، ثم مشاكلك. ولكن يمكنك فتح مسألة اختيار حل أو تصميم شبكة - وبعد ذلك سينصحك بشراء خدمة احترافية ، مقابل رسوم إضافية.

دعم ACI رائع جدًا لأنه منفصل: فريق منفصل يجلس لهذا الغرض فقط. هناك ، بما في ذلك المتخصصين الناطقين بالروسية. هايد مفصل ، القرارات محددة سلفا. ينظرون وينصحون. يتحقق التصميم بسرعة ، وهو أمر مهم في كثير من الأحيان. تقوم Juniper Networks بالشيء نفسه ، ولكن في بعض الأحيان أبطأ (كان لدينا ذلك ، يجب أن يكون أفضل الآن ، يشاع) ، مما يجبرك على القيام بكل شيء بنفسك حيث يمكن لمهندس الحل تقديم المشورة.

يدعم Cisco ACI التكامل مع أنظمة المحاكاة الافتراضية والحاويات (VMware و Kubernetes و Hyper-V) والإدارة المركزية. هناك خدمات الشبكة والأمن - الموازنة ، وجدران الحماية ، و WAF ، و IPS والمزيد ... تجزئة دقيقة جيدة خارج الصندوق. في الحل الثاني ، يتم التكامل مع خدمات الشبكة باستخدام الدف ، ومن الأفضل تدخين المنتديات مع أولئك الذين فعلوا ذلك مسبقًا.

مجموع

لكل حالة محددة ، من الضروري تحديد حل ، ليس فقط بناءً على تكلفة المعدات ، ولكن من الضروري أيضًا مراعاة تكاليف التشغيل الإضافية والمشكلات الرئيسية التي يواجهها العميل الآن ، وما هي خطط تطوير البنية التحتية لتكنولوجيا المعلومات.

جاء ACI بسبب المعدات الإضافية أكثر تكلفة ، لكن الحل جاهز دون الحاجة إلى الانتهاء ، والحل الثاني أكثر تعقيدًا وأكثر تكلفة من وجهة نظر العملية ، ولكنه أرخص.

إذا كنت ترغب في مناقشة التكلفة التي يمكن أن يكلفها تنفيذ مصنع شبكة على بائعين مختلفين ، ونوع الهندسة المعمارية المطلوبة ، يمكنك الاجتماع والتحدث. قبل المسودة الأولية للهندسة المعمارية (التي يمكن من خلالها النظر في الميزانيات) ، سنعرض لك مجانًا ، بالطبع ، يتم دفع دراسة مفصلة بالفعل.

فلاديمير كليبس ، شبكات الشركات.